Уязвимость в GitHub Copilot позволяла красть чужие AWS-ключи и другие секреты

В июне 2025 года исследователь безопасности Омер Майраз обнаружил критическую уязвимость в GitHub Copilot Chat (CVSS 9.6).

Она позволяла незаметно вытянуть содержимое приватных репозиториев — включая секреты (AWS-ключи, токены и пр.) — и полностью контролировать ответы Copilot, подсовывая вредоносные подсказки другим пользователям.

Проблема была закрыта GitHub после отчета через HackerOne — компания отключила рендеринг изображений в Copilot Chat как временную меру и выпустила исправление (фикс обозначен как решенный к 14 августа).

Как работал реальный эксплойт

Атака комбинировала две техники: удаленную промт-инъекцию и обход Content Security Policy (CSP) GitHub.

Исследователь вставлял «скрытые» комментарии или невидимые фрагменты в описания pull-request — содержимое оказалось доступно контекстно-чувствительному Copilot Chat у любого посетителя страницы.

Далее применялся хитрый трюк с GitHub Camo — прокси, через который GitHub переписывает внешние ссылки изображений. Злоумышленник заранее сгенерировал «словарь» валидных Camo-URL для символов/букв и попросил Copilot «отрисовать» нужные данные как последовательность 1×1-картинок.

При загрузке, эти картинки проксировались GitHub и делали возможным скрытую эксфильтрацию. Скомбинированный эффект: Copilot, работающий с правами жертвы, мог найти файлы с метками вроде AWS_KEY, закодировать их и вернуть наружу.

Последствия и рекомендации

Атака могла скомпрометировать приватные исходники и секреты — реальные риски для CI/CD, облачных аккаунтов и целостности проектов. В связи с этим есть набор рекомендаций для команд и администраторов:

• немедленно пересмотреть доступы и аудит логов в GitHub;
• ротировать ключи и секреты (особенно AWS, токены CI);
• при возможности отключить Copilot Chat для чувствительных репозиториев или ограничить его доступ;
• следить за обновлениями от GitHub и применить исправления.